Riesgos de seguridad OT: ¿Cómo evaluarlos y abordarlos?


OT security risks webinar

El 4 de junio de 2020 organizamos nuestro seminario web "Riesgos de seguridad OT: How to Assess and Address?" webinar, en el que nuestros expertos en seguridad André Slingerland y Mentor Emurlai debatieron sobre el panorama de la seguridad OT (tecnología operativa) y destacaron las 10 principales lecciones aprendidas de OT Risk Assessment. Los asistentes hicieron buenas preguntas, que hemos resumido a continuación en un QandA.

Si aún le queda alguna pregunta, póngase en contacto con cybersecurity@bureauveritas.com.

¿Tiene curiosidad por nuestros otros seminarios web? Visite: https: //cybersecurity.bureauveritas.com/webinars


QandA


Si aún le queda alguna pregunta, póngase en contacto con cybersecurity@bureauveritas.com.


Nuestra organización tiene varias plantas, ¿cómo se aborda esta cuestión a la hora de realizar las evaluaciones de riesgos?

Lo ideal es que cada planta se evalúe por separado, pero en términos generales, si hay que evaluar varias plantas, esto normalmente llevará más tiempo. Hay casos en los que varias plantas diferentes se dirigen y gestionan de forma centralizada. En todo momento se discuten con el cliente los detalles y las particularidades del enfoque. Una parte de la OT risk assessment es un walk-down en el que observamos varias partes en las que visitamos las unidades de proceso y las áreas en función de la criticidad. Como ejemplo nos gustaría ver conjuntos de reglas de cortafuegos, diagramas, PFD y PHA, estaciones de trabajo y configuración, etc.


¿Utiliza Secura controles IEC62443 para la auditoría y existe una correspondencia con los controles BIO (baseline informationsecurity overheid)?

Los riesgos que se identifican durante la assessment de riesgos pueden estar relacionados con cada uno de los requisitos fundamentales de la IEC 62443 y en controles específicos de la IEC 62443. De forma similar a la IEC 62443, se puede hacer un mapeo a los controles BIO si así lo solicita el cliente. Además, se puede hacer un mapeo similar a los controles del Marco de Seguridad Cibernética del NIST.


¿Cómo se comprueban los dispositivos propietarios para ver el estado de actualización del software?

En la Risk Assessment tenemos un área temática separada que es la visibilidad y el control de los ICS. Allí comprobamos si el inventario de activos está totalmente completo. El inventario de activos debe especificar elementos de información como la ubicación física de los activos, las interfaces de conectividad expuestas, la criticidad de los activos, el estado de actualización del software, etc. También realizamos varios muestreos para comprobar si los dispositivos (propietarios) están actualizados y además si éstos son vulnerables.

¿Puede dar una estimación de cuánto tiempo lleva una risk assessment y cómo funciona?

Una Risk Assessment depende en gran medida del tamaño del sitio que se está evaluando. Un sitio pequeño puede llevar de 1 a 2 días, mientras que un sitio más grande puede llevar de 3 a 5 días. El funcionamiento consiste en que, junto con el cliente, se define el alcance incluyendo cómo se realizará el recorrido in situ y a qué personal clave se entrevista. En general, la Risk Assessment se centra en los subsistemas y redes críticos.

¿Cómo se aborda una Risk Assessment en edificios?

La abordamos del mismo modo que cualquier otro emplazamiento. La metodología que seguimos a la hora de realizar las evaluaciones de riesgos permite evaluar distintos tipos de emplazamientos/edificios. Puede haber algunos temas que sean menos relevantes o más relevantes.

¿Puede darnos un ejemplo interesante de una ciberamenaza inesperada?

Hay varias ciberamenazas interesantes que enumerar, ya que dependen sobre todo del lugar que se esté evaluando. Por poner un ejemplo, había un gran sitio que se compartía entre diferentes empresas rivales, lo que planteaba amenazas adicionales que normalmente no estarían ahí (tanto) si el sitio no se compartiera. En este caso, si no se han tomado las medidas adecuadas, la empresa podría estar expuesta a: amenazas de terceros, por ejemplo, contratistas en los que era difícil diferenciar quién era quién, interfaces expuestas externamente que dan acceso directo a la red, lo que facilita la infiltración de malware a través de medios extraíbles y hardware externo, la posibilidad de dispositivos deshonestos que pasan desapercibidos.

¿Puede darnos un ejemplo interesante de una ciberamenaza inesperada?

Las pruebas de entrada se recogen preferiblemente de antemano del cliente. Esto puede incluir varios documentos, como diagramas de red, plano de planta, lista o al menos número total de assets y procesos críticos, una copia de laboratorio de los assets críticos (controlador de seguridad) y otra información relevante. En general, se busca información que cubra todos los niveles de Purdue. Durante la propia OT Risk Assessment pueden recopilarse pruebas de entrada adicionales, por ejemplo, se recoge tráfico de red pasivo de conmutadores con capacidad de duplicación de puertos (sólo por parte del cliente). De este modo no se realiza ningún escaneado activo.


Si le queda alguna duda, Contáctenos en cybersecurity@bureauveritas.com.